ROSA Security test

ROSA Security test
Техническое описание

Техническое описание

Общее


Интерфейс:	/usr/share/rosa-security-test/rst.py
Назначение:	Функциональный тест системы
Метод использования:	Вызов из командной строки
ФТБ:	FDP_RSI_EXT.1
	FIA_UID.2
	FMT_MSA.1
	FPT_MTR_EXT.1
	FPT_TST.1
	FPT_STM.1

Параметры запуска

После первого запуска, rst настроит автодополнение команд по нажатию <tab> ⭾ (требуется перезагрузка терминала).


-h --help	Вызов справки
-g --with-interface	Запуск тестирования c графическим интерфейсом
-u --ultimate-mode	Ультимативный режим запуска: при ошибках пользователь имеет право только на завершение сессии.
--fault-code	Возвращать вместо кол-ва не пройденных тестов номер первого проваленного теста
-l --logtype	"nolog" - без ведения лога
	"file" - вести лог в файл см. --logpath
	"journal" - вести лог в journald
	"std" - вести лог в stdout\stderr
--log-level	"error" - регистрировать только ошибки
	"warning" - регистрировать ошибки и предупреждения (по-умолчанию)
	"info" - регистрировать ошибки, предупреждения, информационные сообщения
	"debug" - регистрировать все события включая отладочный вывод
-p --log-path	При --logtype file указывает директорию в которую нужно сохранять лог.
-c --no-colors	Не вставляет ANSI-коды подкрашивающие текст. Будет полезно, если лог не будет читаться с помощью терминала.

Сообщения об ошибках

ROSA Security Test имеет два вида ошибок: общие - ошибки работы самой проверяющей программы, включая неверные параметры запуска и синтаксические ошибки в коде; индивидуальные - ошибки проверки, уникальные для каждого теста, отражающие текущий статус функций безопасности. Оба вида ошибок присутствуют в логе.

Описания тестов

Проверка идентификации (UnidentifiedProcesses)

Тест проверяет файл /etc/passwd на дубликаты, а также на повторения uid и login. Если login или uid встречается в файле дважды, то тест будет провален.
Далее следует проверка всех текущих процессов и правильности ассоциации каждого процесса пользователю согласно /etc/passwd. Если будет обнаружен процесс имеющий login отсутствующий в /etc/passwd - тест будет провален. То же самое для uid процессов.

Проверка виртуализации служебных файлов (OverlayTest)

Тест проверяет смонтированы ли каталоги оверлея(механизм подстановки пользовательского окружения согласно уровню конфиденциальности): ".config", ".cache", ".local". Если хоть один из них не будет смонтирован - тест будет провален.

Проверка механизма подписей (IntegrityMeasurement)

Тест проверяет наличие параметров конфигурации ядра и их значения:
```
xxxxxxxxxx
2
1
CONFIG_IMA=y
2
CONFIG_EVM=y
```
Если параметр не будет найден или его значение не будет равно "y" - тест будет провален.
Тест проверяет наличие каталога
/sys/kernel/security/integrity/ima/
Согласно документации наличие этого каталога говорит о том, что подписи поддерживаются ядром по-умолчанию. Следовательно, если этот каталог не существует - тест будет провален.
Тест пытается создать исполняемый файл(без подписи) в домашней директории текущего пользователя и "запустить" его. Если ему это удастся - тест будет провален.

Проверка ограничения возможности пользователя по созданию файлов без контекста безопасности (FileWithoutContext)

Тест создает файл в домашней директории текущего пользователя файл, затем проверяет наличие у него контекстной метки безопасности, если она отсутствует - тест будет провален.
Тест создает файл в директории /tmp, затем проверяет наличие у него контекстной метки безопасности, если она отсутствует - тест будет провален.

Поддержка MLS при операциях над файлами (FileOperationsWithMLS)

Тест манипулирует определенной структурой файлов и каталогов, пытаясь выявить проблемы при маркировки новых объектов файловой системы. Структура выглядит следующим образом:


xxxxxxxxxx
5
1
.
2
├── dirA
3
│   └── test.txt
4
└── dirB
5
    └── test.txt

Тестирование осуществляется для всех директорий внутри домашней директории пользователя, включая её саму, и делится на 3 этапа:

Создание структуры: если создать не удалось - тест будет провален.
Копирование структуры: если скопировать не удалось - тест будет провален.
Удаление структуры: если удалить не удалось - тест будет провален.

Этапы "Создания" и "Копирования" завершаются специальной(дополняющей) проверкой на корректность контекстных меток безопасности каждого объекта структуры(рекурсивно):

Если директория в /home не имеет метку или имеет отличную от user_home_dir_t или home_t - тест будет провален.
Если файл в /home не имеет метку или имеет отличную от home_t - тест будет провален.
Если selinux-пользователь в метке безопасности объекта отличается от того, который ассоциирован с текущим пользователем(субъектом создавшим этот объект) - тест будет провален.
Если объект имеет уровень конфиденциальности отличный от уровня конфиденциальности субъекта, который его увидел в /home - тест будет провален.
Если объект имеет категорию безопасности недоступную для субъекта, который его увидел в /home - тест будет провален.

В остальных случаях, при ошибке доступа к объекту, его проверка игнорируется.

Проверка ограничений пользователя на доступ к файлам и директориям (DeniedFileDirAccess)

Тест проверяет доступ пользователя ко всем существующим файлам в домашнем каталоге пользователя, а также /tmp и /var/tmp на соответствие модели доступа.

Если обнаружится файл с нечитаемой меткой безопасности, будет произведена попытка его чтения или записи в него, если одна из операций пройдет успешно - тест будет провален.
Если будет обнаружен файл с диапазоном уровней - тест будет провален.
Если файл с уровнем конфиденциальности ниже, чем у текущего пользователя, будет произведена попытка записи в него, в случае успеха - тест будет провален.
Если файл с уровнем конфиденциальности выше, чем у текущего пользователя, будет произведена попытка его чтения, в случае успеха - тест будет провален.
Если файл имеет категорию, а пользователь нет, будет произведена попытка его чтения, в случае успеха - тест будет провален.
Если файл имеет состав категорий не входящий в состав категорий пользователя, будет произведена попытка записи, в случае успеха - тест будет провален.

Далее следует проверка возможности пользователя осуществлять запись в корневые директории(кроме /tmp). Если запись будет произведена успешно - тест будет провален.

Проверка сервисов аудита (AuditServices)

Тест проверяет статусы сервисов осуществляющих аудит: systemd-jouranld-service, rsyslog-service, auditd.service, rosa-central-panel-serverd.service. Если хотя бы один сервис не запущен - тест будет провален.

Помимо этого тест анализирует последние 10 записей журнала по каждому сервису с целью обнаружения ключевых слов, на которые стоит обратить внимание: wrong, error, invalid, fault, terminated, killed, suspended.

Проверка ограничений пользователя на установку программного обеспечения (AccessToSoftwareInstallation)

Тест пытается установить и удалить пакет. Если хотя бы одна операция будет завершена успешно - тест будет провален.

Проверка ограничений пользователя на изменение системного времени (AccessToChangeSystemTime)

Тест пытается изменить системное время. Если попытка будет успешной - тест будет провален.

Общая проверка режима безопасности (1CommonTest)

Тест проверяет статус selinux. Если он находится в режиме disabled или permissive - тест будет провален. Затем тест проверяет включена ли поддержка multi-level security(mls), если нет - тест будет провален.

Проверка границ пользовательского пространства (FilePermissions)

Тест проверяет все файлы и директории(объекты) системы, кроме разрешенных пользователю для записи или чтения (регулируются mls).

Также исключены из проверки:

Сокеты
Симлинки

Директории:


xxxxxxxxxx
6
1
  /tmp
2
  /var/tmp
3
  /run/user
4
  /home
5
  /sys
6
  /dev

т.к. проверяются другими тестами

Директория /proc т.к. она не содержит объектов которые "реально" поддерживают хранением информации. Также есть возможность сокрытия объектов этой директории, если в параметрах монтирования указать hidepid=2:
```
xxxxxxxxxx
1
1
/proc:proc  /proc proc  defaults,noexec,nodev,nosuid,hidepid=2  0
```
Объекты:
- /dev/urandom
- /dev/random
- /dev/zero
- /dev/null'
- /dev/dri/renderD128'
- /dev/full
- /dev/mquene
- /var/spool/postfix/dev/urandom
Объекты с метками:
- var_run_tmp (mls)
- cupsd_rw_etc_t (mls)

В следующих ситуациях тест будет провален:

Если будет обнаружен объект, владельцем которого является текущий пользователь.
Если будет обнаружен объект, который принадлежит группе из состава тех групп, в которых состоит пользователь, и при этом, этой группе будет доступно право записи применимое к этому объекту.
Если будет обнаружен объект с разрешением записи "для всех".